Configuración de exclusiones personalizadas para Microsoft Defender Antivirus

Se aplica a:

• Microsoft Defender para punto de conexión Plan 1
• Microsoft Defender para punto de conexión Plan 2
• Antivirus de Microsoft Defender

Plataformas

• Windows

En general, no es necesario definir exclusiones para Microsoft Defender Antivirus. Sin embargo, si es necesario, puede excluir archivos, carpetas, procesos y archivos abiertos por procesos de Microsoft Defender exámenes antivirus. Estos tipos de exclusiones se conocen como exclusiones personalizadas. En este artículo se describe cómo definir exclusiones personalizadas para Microsoft Defender Antivirus con Microsoft Intune e incluye vínculos a otros recursos para obtener más información.

Las exclusiones personalizadas se aplican a los exámenes programados, a los exámenes a petición y a la protección y supervisión en tiempo real siempre activados. Las exclusiones de los archivos abiertos por procesos solo se aplican a la protección en tiempo real.

Sugerencia

Para obtener información general detallada sobre las supresiones, envíos y exclusiones en Microsoft Defender Antivirus y Defender para punto de conexión, consulte Exclusiones para Microsoft Defender para punto de conexión y Microsoft Defender Antivirus.

Ocultar las exclusiones de antivirus de usuarios o administradores locales

Configuración	Descripción	Valor predeterminado
Configurar si las exclusiones son visibles para los administradores locales	- Deshabilitado (valor predeterminado): si deshabilita o no configura esta configuración, los administradores locales podrán ver exclusiones en la aplicación Seguridad de Windows o a través de PowerShell. - Habilitado: si esta configuración está habilitada, los administradores locales ya no verán la lista de exclusión en Seguridad de Windows aplicación o a través de PowerShell. - Tenga en cuenta que la aplicación de esta configuración no quitará exclusiones, ya que impide que sean visibles para los administradores locales. Esto se refleja en Get-MpPreference.	Deshabilitada
Configuración de si las exclusiones son visibles para los usuarios locales	- Use esta configuración de directiva para configurar si las exclusiones son visibles para los administradores locales (HideExclusionsFromLocalAdmins).	Deshabilitada

Configurar y validar exclusiones

Precaución

Use Microsoft Defender extensiones antivirus con moderación. Asegúrese de revisar la información de Administrar exclusiones para Microsoft Defender para punto de conexión y Microsoft Defender Antivirus. Las variables, como %USERPROFILE% , no se interpretan en la configuración de exclusión. Se recomienda usar un formato de ruta de acceso explícito

Si usa Microsoft Intune para administrar Microsoft Defender Antivirus o Microsoft Defender para punto de conexión, use los procedimientos siguientes para definir exclusiones:

• Configuración de exclusiones personalizadas para Microsoft Defender Antivirus
  • Oculte las exclusiones de antivirus de los usuarios o administradores locales.
  • Configurar y validar exclusiones
    • Administración de exclusiones de antivirus en Intune (para directivas existentes)
    • Crear una nueva directiva antivirus con exclusiones en Intune
  • Puntos importantes sobre exclusiones
  • Auditoría de exclusiones de antivirus en sistemas Exchange
  • Ver también

Si usa otra herramienta, como Configuration Manager o directiva de grupo, o desea obtener información más detallada sobre las exclusiones personalizadas, consulte estos artículos:

• Configuración y validación de exclusiones basadas en la extensión de archivo y la ubicación de la carpeta
• Configuración de exclusiones para archivos abiertos por procesos

Administración de exclusiones de antivirus en Intune (para directivas existentes)

1. En el centro de administración de Microsoft Intune, elijaAntivirus de seguridad> de puntos de conexión y, a continuación, seleccione una directiva existente. (Si no tiene una directiva existente o quiere crear una nueva, vaya a Creación de una nueva directiva antivirus con exclusiones en Intune).

2. Elija Propiedades y, junto a Configuración, elija Editar.

3. Expanda Microsoft Defender Exclusiones antivirus y especifique las exclusiones.

   • Las extensiones excluidas son exclusiones que se definen por extensión de tipo de archivo. Estas extensiones se aplican a cualquier nombre de archivo que tenga la extensión definida sin la ruta de acceso o carpeta del archivo. Separe cada tipo de archivo de la lista, con un tipo de archivo por línea. Para obtener más información, vea ExcludedExtensions.

   • Las rutas de acceso excluidas son exclusiones que se definen por su ubicación (ruta de acceso). Estos tipos de exclusiones también se conocen como exclusiones de archivos y carpetas. Separe cada ruta de acceso de la lista, con una ruta de acceso por línea. Para obtener más información, vea ExcludedPaths.

   • Los procesos excluidos son exclusiones de archivos abiertos por determinados procesos. Separe cada tipo de archivo de la lista, con un tipo de archivo por línea. Estas exclusiones no son para los procesos reales. Para excluir procesos, puede usar exclusiones de archivos y carpetas. Para obtener más información, vea ExcludedProcesses.

4. Elija Revisar y guardar y, a continuación, elija Guardar.

Crear una nueva directiva antivirus con exclusiones en Intune

1. En el centro de administración de Microsoft Intune, elijaAntivirus>+ Crear directiva de seguridad> de puntos de conexión.

2. Seleccione una plataforma (como Windows 10, Windows 11 y Windows Server).

3. En Perfil, seleccione Microsoft Defender Exclusiones de Antivirus y, a continuación, elija Crear.

4. En el paso Crear perfil , especifique un nombre y una descripción para el perfil y, a continuación, elija Siguiente.

5. En la pestaña Configuración , especifique las exclusiones de antivirus y, a continuación, elija Siguiente.

   • Las extensiones excluidas son exclusiones que se definen por extensión de tipo de archivo. Estas extensiones se aplican a cualquier nombre de archivo que tenga la extensión definida sin la ruta de acceso o carpeta del archivo. Separe cada tipo de archivo de la lista con un | carácter. Por ejemplo, lib|obj. Para obtener más información, vea ExcludedExtensions.

   • Las rutas de acceso excluidas son exclusiones que se definen por su ubicación (ruta de acceso). Estos tipos de exclusiones también se conocen como exclusiones de archivos y carpetas. Separe cada ruta de acceso de la lista, con una ruta de acceso por línea. Para obtener más información, vea ExcludedPaths.

   • Los procesos excluidos son exclusiones de archivos abiertos por determinados procesos. Separe cada tipo de archivo de la lista, con un tipo de archivo por línea. Estas exclusiones no son para los procesos reales. Para excluir procesos, puede usar exclusiones de archivos y carpetas. Para obtener más información, vea ExcludedProcesses.

6. En la pestaña Etiquetas de ámbito, si usa etiquetas de ámbito en su organización, especifique las etiquetas de ámbito para la directiva que va a crear. (Consulte Etiquetas de ámbito).

7. En la pestaña Asignaciones , especifique los usuarios y grupos a los que se debe aplicar la directiva y, a continuación, elija Siguiente. (Si necesita ayuda con las asignaciones, consulte Asignación de perfiles de usuario y dispositivo en Microsoft Intune).

8. En la pestaña Revisar y crear , revise la configuración y, a continuación, elija Crear.

Puntos importantes sobre exclusiones

La definición de exclusiones reduce la protección que ofrece Microsoft Defender Antivirus. Siempre debe evaluar los riesgos asociados a la implementación de exclusiones y solo debe excluir los archivos que esté seguro de que no son malintencionados.

Las exclusiones afectan directamente a la capacidad de Microsoft Defender Antivirus de bloquear, corregir o inspeccionar eventos relacionados con los archivos, carpetas o procesos que se agregan a la lista de exclusión. Las exclusiones personalizadas pueden afectar a las características que dependen directamente del motor antivirus (como la protección contra malware, los IOC de archivos y los IOC de certificado). Las exclusiones de procesos también afectan a las reglas de protección de red y reducción de superficie expuesta a ataques. En concreto, una exclusión de procesos en cualquier plataforma hace que las funcionalidades de protección de red y reducción de superficie expuesta a ataques no puedan inspeccionar el tráfico ni aplicar reglas para ese proceso específico.

Recuerde estos puntos importantes:

• Las exclusiones son técnicamente una brecha de protección. Tenga en cuenta todas las opciones al definir exclusiones. Consulte Envíos, supresiones y exclusiones.

• Revise las exclusiones periódicamente. Vuelva a comprobar y volver a aplicar las mitigaciones como parte del proceso de revisión.

• Idealmente, evite definir exclusiones en un intento de ser proactivo. Por ejemplo, no excluya algo solo porque cree que podría ser un problema en el futuro. Use exclusiones solo para problemas específicos, como los relacionados con el rendimiento o la compatibilidad de aplicaciones que las exclusiones podrían mitigar.

• Revise y audite los cambios en la lista de exclusiones. El equipo de seguridad debe conservar el contexto de por qué se agregó una exclusión determinada para evitar confusiones más adelante. El equipo de seguridad debe poder proporcionar respuestas específicas a preguntas sobre por qué existen exclusiones.

Auditoría de exclusiones de antivirus en sistemas Exchange

Microsoft Exchange ha admitido la integración con la interfaz de examen antimalware (AMSI) desde la Novedades trimestral de junio de 2021 para Exchange (consulte Ejecución de software antivirus de Windows en servidores exchange). Se recomienda encarecidamente instalar estas actualizaciones y asegurarse de que AMSI funciona correctamente. Consulte Microsoft Defender Actualizaciones de productos e inteligencia de seguridad del antivirus.

Muchas organizaciones excluyen los directorios de Exchange de los exámenes antivirus por motivos de rendimiento. Microsoft recomienda auditar Microsoft Defender exclusiones de Antivirus en sistemas Exchange y evaluar si las exclusiones se pueden quitar sin afectar al rendimiento en su entorno para garantizar el nivel más alto de protección. Las exclusiones se pueden administrar mediante directiva de grupo, PowerShell o herramientas de administración de sistemas como Microsoft Intune.

Para auditar las exclusiones Microsoft Defender Antivirus en un Exchange Server, ejecute el comando Get-MpPreference desde un símbolo del sistema de PowerShell con privilegios elevados. (Consulte Get-MpPreference).

Si no se pueden quitar exclusiones para los procesos y carpetas de Exchange, tenga en cuenta que la ejecución de un examen rápido en Microsoft Defender Antivirus examina los directorios y archivos de Exchange, independientemente de las exclusiones.

Vea también

• Microsoft Defender exclusiones de Antivirus en Windows Server 2016 y versiones posteriores
• Errores comunes para evitarlos cuando se definen exclusiones
• Exclusiones para Microsoft Defender para punto de conexión y antivirus de Microsoft Defender
• Configuración y validación de exclusiones para Microsoft Defender para punto de conexión en Linux
• Configuración y validación de exclusiones para Microsoft Defender para punto de conexión en macOS

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.